Cyril Brulebois a écrit 613 commentaires

Je n'ai pas de PARTLABEL sous la main pour tester mais ça fonctionne avec LABEL= et PARTUUID= à tout le moins :

kibi@armor:~$ /sbin/blkid -t PARTUUID="63e124c2-01" -o device
/dev/sda1

Il y a plein d'options sympathiques dans blkid et lsblk, je te laisse faire ton marché. :)

Debian Consultant @ DEBAMAX

C'est activé :

$ grep SECCOMP /boot/config-4.19.0-10-amd64 
CONFIG_SECCOMP=y
CONFIG_HAVE_ARCH_SECCOMP_FILTER=y
CONFIG_SECCOMP_FILTER=y

Debian Consultant @ DEBAMAX

Pour compléter un tout petit peu, une socket UNIX est accessible en connaissant son chemin dans l'arborescence locale.

Tandis qu'une socket AF_INET/AF_INET6 (disons « internet ») sera en général exposée via un port TCP ou UDP, qui peut être limité à une écoute locale (type 127.0.0.1) ou distante (avec une IP donnée, ou en écoutant sur toute IP). Ces dernières peuvent ensuite être firewallées à coup d'iptables/nftables ou autre surcouche.

Debian Consultant @ DEBAMAX

La séparation que j'envisage, c'est justement pour ne pas avoir besoin de me poser la question de si j'ai confiance ou non.

Debian Consultant @ DEBAMAX

Je me permets de rebondir sur l'aspect technique plutôt que juridique.

Je vais me retrouver dans une situation similaire très prochainement, avec un poste mis à disposition par un client. Étant pour la toute première fois confronté à ce genre de situation (éventuel contrôle à distance par le client, pour déployer des composants/mises à jour… et donc accès root j'imagine, autant dire que je n'ai aucun contrôle), je me demandais comment limiter les effets de bord en local.

Mes pistes actuelles :

• Branchement sur un switch configuré avec des VLAN pour m'assurer que le poste ne voit que la Freebox pour sortir sur internet (la question de la sécurité se poserait toujours côté Freebox, mais ça limite la connexion aux autres équipements). Inconvénient : Il va falloir que je m'équipe et que j'apprenne rapidement comment on configure ce genre de choses.
• Utilisation du réseau invité de la Freebox. Inconvénient : Jamais utilisé jusque-là, je ne sais pas trop quel cloisonnement cela offre.

Debian Consultant @ DEBAMAX

Oui. Ce que tu proposes appelle le contenu de $1 en tant que commande en positionnant temporairement var1 à eval…

Debian Consultant @ DEBAMAX

Euh, ce n'est pas ce que je suggérais.

J'indiquais que dans certaines conditions, il peut être nécessaire de forcer l'enregistrement d'un système Linux dans la séquence de démarrage du firmware. Et que si on est dans le cas d'un dual-boot Windows/Linux, ce n'est pas trop délirant d'avoir Linux en premier puisque le chargeur de démarrage de celui-ci peut passer la main à Windows.

Si on est capable de lancer le système installé en forçant la main au démarrage une fois (en spécifiant le chemin complet jusqu'au bootloader), ou si on est capable de lancer un système d'installation, alors il est possible de faire la manipulation efibootmgr qui va bien pour modifier la séquence de démarrage du firmware. S'il n'y a pas de Windows dans l'équation, cela limite le risque de régression lors de manipulations à coup d'efibootmgr. :)

Debian Consultant @ DEBAMAX

Ajoute (un log dans) un constructeur de copie ?

Rien de spécifique à l'opérateur ternaire, je dirais. ;)

Debian Consultant @ DEBAMAX

J'ai déjà vu un certain nombre de cas similairement foireux lors d'install parties… Notamment quand cela implique Windows + une variante d'Ubuntu.

Pour l'instant, je n'ai pas trouvé mieux que d'intervenir de la façon suivante :

• Lancement d'un Linux en mode Live (plutôt qu'en mode installation).
• Incantation efibootmgr pour vérifier la configuration actuelle, et ajouter une entrée pour Linux.

L'idée est d'utiliser efibootmgr pour avoir Linux dans la séquence de démarrage du firmware, et ce de façon prioritaire. Du moment que le paquet os-prober est installé (et c'est le cas par défaut sur Debian + Ubuntu), Windows devrait être détecté et proposé dans le menu du chargeur de démarrage (GRUB), ce qui rend acceptable — la plupart du temps — le fait d'avoir Linux qui démarre dans tous les cas : il est possible de basculer sur Windows depuis le menu GRUB.

C'est un peu délicat de donner des instructions à l'aveuglette, c'est le genre de manipulation qui est bien plus facile à faire en direct. Je t'invite à vérifier si un GULL existe à proximité.

Debian Consultant @ DEBAMAX

Tu obtiens même the user variable is not set. avec deux espaces. ;)

Il y a une légère confusion : tu essaies de passer à ta fonction le nom de ta variable ou son éventuel contenu ?

Si tu passes son nom à la fonction, il va falloir demander à ton shell d'aller chercher son contenu. Cela peut se faire en utilisant eval (qui n'est pas trivial car il faut penser à la double évaluation que cela implique).

Si tu passes son contenu à la fonction, celle-ci n'a pas accès à son nom. Elle ne peut donc pas l'utiliser dans un éventuel message d'erreur.

Debian Consultant @ DEBAMAX

Tu n'as donc jamais eu affaire à quelqu'un qui s'est mélangé les pinceaux, a explosé le début du (mauvais) disque, et n'a pas pu récupérer ses données parce qu'en MBR il n'y a pas de sauvegarde de la table de partitions ?

Debian Consultant @ DEBAMAX

Tentative de connexion depuis la console (Ctrl+Alt+Fn) pour décorréler les sujets « connexion utilisateur » et « environnement graphique » ?

Debian Consultant @ DEBAMAX

Tu n'as pas marqué l'interface enx001e06300937 comme étant automatique, d'où le fait qu'elle est prise en charge par N-M ?

→ auto enx001e06300937 en plus.

(J'imaginais que tu avais déjà une configuration IPv4 et le morceau auto en place, c'est pour cela que je ne l'avais pas mentionné.)

Debian Consultant @ DEBAMAX

iface enx001e06300937 inet6 static
  address 2a01:e0a:195:1040:cdaf:219b:207e:d823
  netmask 64
  gateway 2a01:e0a:195:1040::1

Debian Consultant @ DEBAMAX

De ce que j'ai vu quand de telles vidéos ont commencé à être disponibles (à la louche, il y a 2 ans, je n'ai pas revérifié depuis), une des raisons pour lesquelles on n'a et n'aura pas de support x265 sur Freebox Revolution, c'est le manque de performances de la plateforme. Je ne serais donc pas aussi catégorique que toi sur l'aspect « très peu de puissance ».

Debian Consultant @ DEBAMAX

Pour gérer les certificats X.509 de quelques clients/serveurs, j'utilise xca, dont je suis plutôt content.

→ https://www.hohnstaedt.de/xca/

Debian Consultant @ DEBAMAX

On peut même faire un peu plus rigolo en utilisant borg mount sans le ::2020-04-16 final, histoire d'avoir sous la main toutes les sauvegardes incrémentales, et de pouvoir se balader dans chacune jusqu'à trouver celle(s) qui nous intéresse(nt). :)

Debian Consultant @ DEBAMAX

Si la clé est copiée sur le serveur une seule fois, c'est perdu, non ?

Debian Consultant @ DEBAMAX

Sinon, --color=never dans dnf, histoire d'éviter complètement le problème, plutôt que d'avoir à le contourner ?

Debian Consultant @ DEBAMAX

Je crois que dans Tails, on est plutôt satisfait de https://riseup.net/fr/security/message-security/openpgp/gpg-best-practices

Mais je ne vois pas d'information quant aux dates de publication, édition, etc., ce qui me semble un peu dommage.

Debian Consultant @ DEBAMAX

Ça, c'est tout à fait vrai.

Mais ça n'en fait pas un miroir français pour autant.

Exemple :

kibi@armor:~$ host deb.debian.org
deb.debian.org is an alias for debian.map.fastly.net.
debian.map.fastly.net has address 151.101.14.133
debian.map.fastly.net has IPv6 address 2a04:4e42:3::645

# https://whatismyipaddress.com/ip/151.101.14.133
City:   Frankfurt am Main

Ailleurs :

kibi@armor:~$ ssh casulana.debian.org host deb.debian.org
deb.debian.org is an alias for debian.map.fastly.net.
debian.map.fastly.net has address 151.101.18.133
debian.map.fastly.net has IPv6 address 2a04:4e42:4::645

# https://whatismyipaddress.com/ip/151.101.18.133
City:   London

Debian Consultant @ DEBAMAX

Aucun problème avec KVM/NAT, debian-10.2.0-amd64-netinst.iso ou debian-10.3.0-amd64-netinst.iso et ftp.fr.debian.org (au passage, deb.debian.org n'est pas un miroir français).

Comme suggéré dans une autre réponse, avoir le /var/log/syslog de l'erreur pourrait être un bon début.

Debian Consultant @ DEBAMAX

Il n'y a aucune raison évidente qui pourrait expliquer cela.

Avoir besoin de faire un apt-get update avant l'installation d'un paquet dont la version a changé dans les dépôts, oui (mais c'est une erreur évidente type 404 sur le téléchargement, ce qui est a priori bien différent).

Avoir besoin de le faire pour récupérer des fichiers d'index à jour quand on utilise une distribution limitée dans le temps (cf. champ Valid-Until dans testing, unstable, etc.), oui. Mais ça n'est pas le cas pour les distributions stables.

Dans tous les cas, ces fichiers étant téléchargés dans leur version la plus récente pendant l'installation, je ne vois pas comment ils pourraient ne pas être à jour… pendant l'installation.

Debian Consultant @ DEBAMAX

Tu es sûr que c'est le miroir réseau qui pose problème, plutôt que les quelques paquets qui sont sur l'image d'installation que tu utilises ? Celle-ci a-t-elle été téléchargée correctement, vérifiée, et déployée correctement sur ton périphérique d'installation ?

As-tu un proxy (± transparent), des réglages réseau rigolos (MTU, etc.) ?

Le plus simple, ce serait de mettre à disposition /var/log/syslog quelque part.

Cf. https://www.debian.org/releases/buster/amd64/ch05s04#problem-report

Debian Consultant @ DEBAMAX

Pour celles et ceux que ça intéresserait, un article sur l'installation de Jitsi derrière un reverse proxy (apache2 en l'occurrence) → Installing Jitsi behind a reverse proxy.

Et sinon, l'instance que vous pouvez tester → https://jitsi.debamax.com/

Debian Consultant @ DEBAMAX