Christophe B. a écrit 1681 commentaires

AH mais je comprends mieux … tu te mets à la place, en fin du point de vue, de l'admin coté client :) (enfin client pour moi)

C'est sur que SSH une fois que l'on est connecté on fait ce que l'on veut … et il est difficile de nous tracer.

Enfin pour un admin windows :)

OK, cela doit être un des rares arguments valables contre SSH

Merci pour le truc sur OpenVPN … cela nous a pourri la vie quelques temps.

S'il te plaît tiens nous au courant
Pas la peine de les bombarder avec la même demande … enfin pour l'instant

Un VPN, ça défini un tunnel dans lequel tu peux rediriger certaines routes

Avec SSH tu n'as pas besoin de route vu que tu es connecté sur le réseau local, et donc tu peu faire ce que tu veux.

Une installation OpenVPN, c'est quand même assez simple à mettre en place.

OpenVPN fonctionne a priori bien mais tu ne peu gérer qu'un tunnel par poste.
C'est dommage c'est son seul défaut.

Un client avec OpenVPN, 3 postes de (con)sultant chez nous
Donc tu es obligé de créer 3 tunnels
Le poste 1 se connecte avec le Tunnel 1
Le poste 2 essaye de se connecter avec le poste 1 et si il y arrive cela coupe le Tunnel 1, super en général tout le monde apprécie
Quand tu es en open space tu peu crier le nom du client et le no de tunnel, cette méthode ancestrale de communication fonctionne plutôt bien, mais pas pour celui qui est à l'autre bout de l'immeuble, et je te parle pas des sultants qui sont sur un autre site qui veulent se connecter sur le même client.

open VPN c'est bien mais c'est avant tout un VPN, donc un réseau vers un réseau, l'utilisation poste vers réseau n'est qu'une distorsion.

avec SSH chaque poste peut avoir son tunnel, sans se soucier de savoir si c'est déjà utilisé avec un seul utilisateur sur le serveur de connexion.

Non je vous le dit, dans le cas d'une SSII avec des intervenants différents par métiers et donc la nécessité de connexion multiples vers un client, SSH est le seul qui ne fait pas suer.

Multi OS
Sans limite de connexion et/ou d'utilisateur
Transfert de fichier
Décalage de port
Fichier de configuration du poste client (avec Tunnelier sous windows)
Pérenne, fiable et stable
Ne coupe pas le réseau local du poste
Plusieurs tunnels sont possible sur le même poste client

Et le truc qui tue :
Gratuit

Accessoirement cela permet aussi de juger les admins de mes clients
Surtout les windowsiens qui ne jurent que par des portails ou autres plaisanteries, pour qui le réseau n'existe qu'avec l'icône Network sous windows …

En 46 ans beaucoup de choses on changé :)

En 1970 il y avait encore un Ministere de l'information

L’avantage c’est que tes deux sites sont reliés au niveau réseau, au niveau applicatif c’est beaucoup plus transparent. Une fois en place tu n’as pas à ajouter une règle de NAT à chaque fois que tu veux faire passer un nouveau protocole dans ton tuyau…

Oui c'est l'avantage du VPN, et il est fait pour cela.
un VPN est fait pour fonctionner dans les 2 sens sinon tu es obligé d'ériger moult règles

Dans le cas de l'assistance / télémaintenance justement on ne VEUT pas que le réseau distant accèdent au poste et encore moins à notre réseau, c'est d'ailleurs pour cela que la plupart des VPN te coupe du réseau local.

De plus avec SSH une fois connecté je fais ce que je veux avec la redirection de port.

Cela suppose une relation de confiance entre le client et nous mais comme on s'occupe aussi de sa gestion, de sa compta cette relation existe déjà.

Avec un VPN tu es obligé de décrire ce que tu ne veux pas, avec SSH c'est l'inverse tu ne décris que ce tu veux

Le VPN c'est avant tout fais pour relier 2 sites à travers le nuage.
SSH c'est un poste qui se connecte sur un réseau, c'est beaucoup plus restrictif

Tu sais il n'y a pas encore si longtemps un de mes collègues venait me voir pour me montrer quelque chose …
Il était connecté chez un hébergeur en TSE sur un serveur via un VPN, et par habitude il avait cliqué sur réseau Windows, magnifique on pouvait voir les serveurs Windows de tous les clients de cet hébergeur.

Et pour finir, la mise en œuvre d'un VPN même en 2016 c'est jamais gagné du premier coup
Même sur du matériel venant du même fournisseur.

Avec SSH une règle de pare feu pour décaler le port, un serveur SSHD qui écoute c'est presque fini.
Après il faut appliquer quelques règles de bases c'est tout.

Ce qu'il manque : une interface graphique plus sympa que Tunnelier, avec par exemple la possibilité de paramétrer des actions supplémentaires sur des boutons paramétrables.

Un outil de gestion des clés publiques avec retrait / ajout et mise à jour distante.

bref de quoi gagner du temps pour mouler sur LinuxFr :)

Oui mais sur LinuFr même des … personnes comme toi ont un droit de parole.
Parfois c'est pénible, mais c'est comme ça

La dictature c'est ferme ta gueule … la démocratie : cause toujours

Pour avoir lancé d'innombrables tunnels ou sessions SSH je dirais que, en dehors des coupures liées à de réels problèmes matériels, cela dépend du FAI.
Je n'ai aucune preuve de ce que j'insinue, pas le temps pour cela et pour quelle raison en plus …
mais globalement certaines "coupures" arrive plus fréquemment chez certain FAI que d'autres.

Je m'explique, mes connexions proviennent de Free, FAI qui te vends un service d'accès et tu peu en faire quasiment ce que veux.
Mais quand je me connecte chez un de mes clients, qui n'ont pas le même FAI chez certain les connexion subissent moins de coupure que d'autres.
Cela peut aussi venir du chemin et/ou du site, c'est possible, mais il m'a semblé que souvent les clients d'Orange et/ou de SFR subissaient plus de coupure que les autres.

Alors que chez certain il m'est arrivé de laisser trainer des connexions du vendredi au lundi …

Après tout rien dans ton contrat ne te promets des connexions supérieures à 24h

Mais comme toi quand j'ai besoin de maintenir longtemps une connexion, j'utilise auto-ssh

Sans aucun argument, même pseudo technique ?

Non justement quel argument veux tu mettre en face de SSH ?
gratuit efficace simple a mettre en œuvre et super sécurisé … quoi de mieux ?

à part tomber dans le ridicule et dire qu'est un truc de barbu hacker mal léché …

Dans le cas qui me concerne SSH est l'outil PARFAIT pour de la maintenance distante
Cela fait 15 ans qu'on l'utilise et honnêtement ya pas mieux pour ce que l'on veut faire.

A savoir : un poste se connecte sur un serveur distant et peut éventuellement "rebondir" vers d'autres serveurs

Multi OS, Multi user, sans licence, transfert de fichiers intégré, flux compressé, maintient de la connexion, Lancement de commande a distance (on peut même faire de la supervision :))
Interface graphique pour les technophobes

Et tu peu avoir plusieurs connexions concurrentes (plusieurs tunnel SSH ) sur des serveurs/sites différents.

Sécurité gérée pour chaque intervenant avec les clé publiques/privées ainsi si quelqu'un quitte la société il suffit de retirer sa clé publique des serveurs de connexion.

Et surtout : cela ne coupe pas le poste de son réseau local

Et tout ça pour … rien c'est gratuit (c'est vrai que dit comme ça cela fait louche)

On est peut être un cas particulier, notre hotline doit gérer plus de 250 clients (de 3 à + de 500 utilisateurs) avec beaucoup de cas de figures différents. Plusieurs OS, bases, environnement Multi tiers, mono tiers etc …, pas 2 clients identiques.

Et inévitablement plusieurs types de VPN et de méthodes de connexions et cela va de
- méthode à c…. à excellent comme SSH

Primo pour éviter de se faire couper de son réseau local, sinon tu peu pas mouler sur LinuxFr pendant que les traitements tournent, on utilise une VM sous Virtualbox ou VMplayer.

Mais installer plusieurs clients VPN sur une VM windows (XP et bientôt 7) cela tient du miracle.
C'est le genre d'OS ou tu tire d'un coté cela casse de l'autre … mais bon mes collègues sont plus patients que moi et on réussi à faire rentrer au chausse pied une demi douzaine de client VPN sur un VM windows, il faut rebooter un peu plus souvent que la normale mais globalement cela fonctionne.

A coté SSH est un havre de paix et de sérénité, avec certains outil (BitVise Tunnelier) un client SSH graphique on peut même diffuser simplement des fichiers de configs pour accéder aux multiples clients et serveurs.

Si cela vous intéresse, je peu vous faire un journal sur le sujet, je viens de rédiger un document dans ce sens pour mes collègues lointains, mais bon SSH est déjà largement documenté sur le net, il s'agit plus de comment on peut utiliser SSH pour les connexions de télémaintenance de tout les jours avec redirection des ports locaux pour accéder à de multiples serveurs distants à travers un tunnel SSH.
Enfin pour ceux qui ne connaissent pas le truc …

Faut pas non plus s'inquiéter, vu que … plus la société est importante plus le principe de Dilbert est vrai

« Les gens les moins compétents sont systématiquement affectés aux postes où ils risquent de causer le moins de dégâts : l'encadrement. »

Bon, 01net est lu par des non informaticiens cela permet de se familiariser avec le vocabulaire commercial : cloud, big data, Saas Paas …

Maintenant la plupart des "décideurs" (pressés ou non) demandent aux VRAIs techniciens ce qu'il faut …

Ceci dit il y a encore des crétins placés assez haut … une fois je me suis fait incendier par un pseudo responsable parce que j'avais proposé SSH comme méthode de connexion à distance.
En fait on avait décidé cela dans notre coin avec l'admin local.
Et la ou j'ai eu tord c'est de répondre par mail avec une phrase du type :
"Désolé mais je n'ai fait que vous proposer un protocole Gratuit, sans licence, sans limite de connexion ni d'utilisateurs, certainement un des plus sécurisé et installé en standard sur vos serveurs linux et la mise en place ne nécessite que l'ajout d'une règle sur le pare feu … bref c'est performant, fiable, sécurisé, gratuit ,sans limite … je peu pas faire mieux :) "

Ensuite il a fait remonter l'affaire à mon patron et au sien mais bon ils n'ont pas du comprendre grand chose.

le pire c'est que cela s'est fini par un VPN style Cisco qui a du couté cher …
tant qu'il y aura des cons pour acheter …

C'est anecdotique comme utilisation, fais bien gaffe de conserver les câbles :)

Sinon c'est vrai cela fonctionne … mais l'USB et le RJ45/TCP c'est quand même mieux

Les ronchons caractériels asociaux

Alors ça c'est de la légende urbaine !
C'est comme les crocodiles dans les égouts ou les serveurs Windows avec un uptime de plus d'un an …

Tout les sysadmins que je connais sont des gens charmants, généreux et parfois même sensibles.

Non il ne faut pas croire ce que raconte le truc qui ressemble à Jabba the Hut, une excroissance organique qui envahit l'espace entre la chaise et le clavier du poste client, que l'on nomme aussi parfois utilisateur ou développeur.

Note : il existe certainement d'autres espèces et sous catégories de ces bestiaux mais je n'ai retenu que les plus pénibles.

Ce … cette … chose, généralement de mauvaise foi atechnique et totalement dénuée de bon sens, utilise la moindre disparité technique (pas la bonne couleur, son pas en dolby surround, résolution trop basse, chaleur excessive des locaux etc …) pour justifier les carences de son travail.

C'est le trop classique syndrome du : pas de solution alors trouvons un coupable. et comme taper sur les plus faible cela ne se fait pas alors on choisit le sommet de la pyramide : le sysadmin

De plus tout est problème, c'est incroyable, CPU trop lent, disque plein, pas assez de RAM, pas à jour.
Il est vrai que une partie de notre fonction consiste à apporter des solutions et à mon avis pour équilibrer l'univers il faut des … utilisateurs … pour amener les problèmes

Avec des collègues sysadmins, on réfléchissait à la vie courante de ces parasites petites bêtes et la question qui nous taraudait était la suivante :
Cette volonté de vouloir taquiner le prédateur suprême tout en haut de la chaîne alimentaire que sont les sysadmins, était l'expression d'un véritable courage ou plutôt un réflexe reptilien suicidaire comme le possède d'autres nuisibles bébêtes du style lemming.

Si c'est pas une preuve que l'on se préoccupe de ce qui se passe en dessous, je sais pas ce qu'il vous faut.

La preuve que les sysadmins sont des incompris c'est qu'il existe un 'sysadmin's day' et pas de 'developper's day' ni de 'user's day'

Un petite nimage qui le prouve

Bon week end à tous …
Ah pendant que j'y suis et que vous m'êtes sympathique, je vous recommande ce livre que je viens de finir

Bonjour les jeunes,

Vous ne vous rendez pas compte de la chance que vous avez :

De la puissance CPU, de la RAM à foison et de l'espace disque à plus savoir qu'en faire
et surtout un réseau standard performant et fiable.
Sans parler de la documentation en ligne et de la possibilité de contacter gratuitement et instantanément quelqu'un à l'autre bout du monde.
Et même plus besoin de se déplacer : ssh teamviewer TSE X11 tout ces protocoles qui permettent de bosser à distance.

L'informatique de Papa se mesure en quelques MegaHertz pour le CPU en Kilo octet pour la RAM et en dizaines de Mega octets pour les disques.

Certaines technologies ont disparues et tout ceux qui les ont subies savent pourquoi : RS232, Port Parallèle, connecteur BNC, Modem 56K …

Vous devriez essayer de programmer sur un ZX81 avec 1024 octets de RAM connecté sur une télé noir et blanc et sauvegarde sur cassette audio … juste pour le fun

Par contre ce qui est fini (ou en passe de l'être) c'est l'aberration des poste de travail surdimensionnés et difficile à gérer et à sauvegarder que sont les postes Windows actuels.

Prenez n'importe quelle société avec 10, 50, 100 postes et imaginez un serveur avec la somme en RAM / CPU et disques des postes clients … sur lequel se connecterait des terminaux.

La plupart des utilisateurs (au bureau comme à la maison) n'ont besoin que d'un terminal avec quelques ports USB, et même parfois une tablette peut suffire largement.

Dans beaucoup de cas, pas tous, le retour à des terminaux et des serveurs comme dans les années 80 n'est qu'une question de logique et de bon sens.

"The network is the computer" comme cela se disait chez SUN, et on y est bientôt
Est ce une évolution, une révolution ? difficile à dire …

Vous le voyez comment le futur ? … façons Terminator ou big brother ?
ou plutôt saturé de réseaux sociaux, pub, big data ?

Je suis en cours de test et cela a l'air bien … au bout de 1/2h
et j'ai gagné 25 Go en parrainant qqun :)

A suivre …

Le routeur 4G pour un cout de 99€/mois chdez bouygues
à l'air intéressant, et ils proposent 15 jours de tests
Par contre attention en fonction de la situation géographique les débits changent

Ex: nous on a droit à 12mb/s et 3,5Mb/s (d'après un test sur un tel)

j'attends la proposition pour le test de ce routeur

Oui c'est dans un cadre professionnel
Le but : la diffusion d'image ISO contenant des logiciels / patchs etc …

Une image ISO peut être utilisé même des années après sa publication officiel de l'éditeur
pour la réinstallation d'environnement de Test de Dev etc …

4Go peuvent mettre 40 à 60 heures pour s'uploader via Mega

Ah une piste :

longueur des noms de fichiers ?
taille max ?

a vérifier de notre coté … Merci

(et ne pourra pas l'être avec un compte 50Go).

Désolé mais nous avons acquis un compte avec 10 To pour 50€

Quelle solution tu utilisent avec Linux ?

Hubic imbattable … sur le papier
Dans la vrai vie cela ne fonctionne pas au dela de 50 Go
Mon collègue et moi avons perdu de nombreuses heures a tenter d'utiliser les 10 To promis sans succès.

Ce que nous voulions faire : faire des rsync sur une VM dédiée entre HubicFuse et des partages NFS
cela presque marche.
Au bout de 50 Go (51.49 exactement) la synchro ne fonctionne plus
Sans explications, ni logique …

quelques tentatives (sympas) de comprendre avec la hotline.
Sans résultat, j'ai même tenté le bluff et le menace comme quoi j'allais inonder le net avec le résultat de nos tests … ils n'ont même pas eu peur

Bref on a écumé le net sur la résolution du problème, on n'arrive pas à passer cette barrière de 50 Go

Le problème vient forcément de HUBIC, car maintenant on utilise plusieurs comptes Mega gratuit de 50 Go sans problème

Par contre on n'utilise pas les mega tools car au vu de notre bande passante pourrie on est parfois obligé de mettre les transferts en pause et cela seul le client web de Mega le permet.

Donc Mega c'est louche mais au moins cela fonctionne bien (avec le plugin Firefox)

Hubic c'est pas louche mais cela ne fonctionne pas … dommage

Une UI intuitive Universelle qui fonctionne de partout => vi

Sincerement :

des fichiers textes avec des commentaires
git pour la sauvegarde / cp ls mv etc pour le reste / vi pour l'édition
ya que ça de vrai

OK compris, la question n'était pas du tout réfléchie …

Bon si on fait un don et que finalement vous n'arrivez pas à votre budget de 40 000 €, il se passe quoi ?

Et aussi un cerveau …

Tu peu aller te battre avec un cochon dans la boue, mais vous serez tout les 2 salis et le cochon aura apprécié

Ouvrir un système de compte payant couterait trop cher ?

je n'ai jamais vu quelqu'un chercher un coupable pour quoi que ce soit. Quand tout va bien c'est parce que nous avons tous assuré, quand tout va mal c'est parce que nous avons tous raté.

C'est peut être particulier à la SSII, je ne m'en rends pas compte vu que je baigne dedans depuis (trop) longtemps.

Quand un problème arrive :

le client sans service info veut une explication pas trop technique et parfois demande comment éviter que cela se reproduise.

Après cela dépend du service info, avec certains on s'aide pour remettre le système ordre de marche
sans se poser de questions, chacun s'occupe de sa ou ses parties

D'autres nous appellent même si il s'agit d'une partie que nous ne connaissons pas ou n'avons pas mis en place, soit par habitude parce qu'on s'occupe de tout, soit parce qu'on apparaît comme des magiciens extra lucides omniscient

Les pires (grand distrib par exemple) tu passes ton temps à prouver que tu n'es pas le fautif
et même si ce n'est pas ta faute de toutes façons par défaut tu lui dois de l'argent …

De plus sur un ERP pour l'utilisateur lambda-michu qui ne connait que son Client Lourd ou son navigateur, c'est l'ERP qui merde.
Et donc on est QUASIMENT toujours les premiers prévenus, parfois même AVANT le service infos, à nous de chercher l'origine du problème

La relation client / fournisseur même si elle s'étale sur de longues années est particulière
On oublie trop souvent que l'on ne parle que des problèmes jamais du fait que le système ronronne depuis 3 ans.

C'est fort probable, comme le dit pbpg en réponse un peu plus loin, que cela soit typiquement Français.

Es-tu sérieux ou sarcastique ?

Sérieux, voici enfin un exemple simple de service sous systemd (complet en plus)
en fait c'est un bête fichier texte quelque part avec une syntaxe particulière
pas de quoi casser 3 pattes à un canard

J'ai économisé 3h de lecture ;-)

Surtout que sur mes machines en prod le reboot c'est 1 fois tout les 3 ans :)

Je trouve que notre ami a bien tout décrit, y compris la génération de clé sans passphrase
bref c'est simple efficace et concis

Pour l'histoire des ports / serveurs, je suis arrivé à la même conclusion
Même si je sais qu'il est tout a fait possible de gérer via des décalage de ports locaux style 127.0.C.S (c=client s=serveur chez le client) impossible avec autossh.

En plus j'aime bien comment tu gères systemd
finalement c'est pas si compliqué

Encore merci