eric gerbier a écrit 317 commentaires

que donne slogin -v root@ton_serveur ?

La sortie de tcpdump va t'afficher les flux réseau : ip source, port source -> ip destination, port distant.
Si les applications utilisent les ports par défaut, tu prends ton numéro de port distant,
tu fais une recherche dans le fichier /etc/services, et tu sauras quel protocole est concerné.

GLPI est un logiciel de gestion de parc informatique : une base de donnée avec une interface web.
OCSInventory et FusionInventory sont des logiciels de remontée d'inventaire, à installer sur tous les postes du parc.

Nous avons commencé notre gestion de parc avec le couple OCSInventory + GLPI, puis nous sommes passé il y a 2 ans sur FusionInventory + GLPI.

Pour moi, il y a 2 grosses différences :
- OCSInventory est un code binaire (compilé), et FusionInventory est codé en perl (un langage interprété). Sur un part hétérogène, il est plus facile de déployer FusionInventory.
- l'utilisation de OCSInventory implique un serveur OCSInventory (donc une base de donnée ocs) et un mappage des champs entre la base ocs et la base glpi. A mon avis, ça rajoute de la complexité.

Si tu démarre sur la clef USB, windows n'intervient pas, donc le logiciel espion ne fonctionneras pas.
La preuve, si le disque est HS, tu peux démarrer sur la clef USB pour tenter une réparation.

Dans mon entreprise, les administrateurs se servent de clef usb pour la réparation des pc. Pour éviter que les utilisateurs s'en servent pour faire "n'importe quoi", l'ordre de boot des périphériques dans le bios commence par le disque dur, et le bios est verrouillé par mot de passe.

J'ai écrit l y a quelques années un outil pour les systèmes à base de rpm : rpmrestore (http://rpmrestore.sourceforge.net/index.fr.html) : le principe est d'utiliser les méta-données contenues dans la base de donnée rpm : utilisateur, groupe, droits unix, …

On pourrait aussi le faire avec un proxy :
- mettre en place un proxy http/https sur un port non standard (squid ?)
- bloquer les sorties sur les ports http/https
- ne renseigner le proxy que dans firefox

Le "about.config" n'est que la représentation d'un fichier déjà au format texte : prefs.js, qui est dans ton profil firefox : ~/.mozilla/firefox/(…).default

En entreprise, quand tu gère des milliers de machines linux, et que tu dois tester toute modif avant de la propager, tu te limite assez vite à une distribution "stable", du type redhat/CentOs, plutôt que fedora …

Quand on ne gère que sa machine, qu'on a du temps et des compétences, c'est autre chose.

Pour que rrdtool prenne en compte tes données, il faut que le temps entre 2 impulsions soit inférieur à heartbeat, soit 600 secondes, sinon tu auras NaN (NotaNumber).

Il faut interroger la carte raid pour savoir …
Pour cela , chaque fabriquant fournit (ou pas) un logiciel pour linux.
Pour t'aider un peu plus,il faudrait fournir le nom de ta carte.

En l'absence de logiciel, tu dois pouvoir accéder à la configuration lors du boot de la machine.

rrdtool est plutôt conçu pour des données régulières ( 1 acquisition toutes les minutes par exemple) et heartbeat permet de montrer s'il a eu des trous dans l'acquisition.

Dans ton, cas, les données vont être irrégulières : pas grand chose la nuit par exemple, donc il te faut choisir comme heartbeat une grande valeur, du type une journée.

Pour le type de données,
- COUNTER, est pour une donnée qui augmente, par exemple le kilométrage d'une voiture
- GAUGE est adaptée à une mesure fluctuante , par exemple une température
- DERIVE, va montrer les variations entre 2 mesures

je pense qu'ABSOLUTE serait la bonne solution.

Je pense que tu va avoir un problème avec le 'heartbeat'.

Rrdtool est fait pour accumuler des données temporelles régulières. La valeur 'heartbeat' donne la période de temps maximum acceptable entre 2 entrées temporelles. Si on dépasse ce temps, la valeur sera NaN (Not a Number).

Tu peux vérifier le contenu de ta base avec la commande : rrdtool dump fic.rrd.

La première chose à faire en perl est de vérifier que le code est valide, avec la commande : perl -cw, ce qui donne

$ perl -cw essai.pl 
Unquoted string "fhin" may clash with future reserved word at essai.pl line 11.
Can't modify numeric lt (<) in sysread at essai.pl line 11, near "3500) "
Not enough arguments for sysread at essai.pl line 11, near "3500) "
essai.pl had compilation errors.

Ensuite il y a des problèmes avec les instructions close :
* le premier close est mal placé
* il manque le close sur le fichier en sortie

Je te recommande d'utiliser l'outil perlcritic pour vérifier tes codes perl : il vérifie les "bonnes pratiques" de codage et permet ainsi d'éviter pas mal d'erreurs.

Je viens de faire un essai avec alien sur une debian , pour convertir un package au format deb en format rpm.
J'utilise une commande du type : alien -r package.deb
et ça marche sans souci.

Attention, alien transcrit les dépendances telles que. Donc sur un package binaire ( pas un *.all.deb), tu n'as aucune garantie de pouvoir l'installer sur un autre linux.

Je peux te proposer 2 vieilles doc (écrite pour redhat 7.3 !) :
http://eric.gerbier.free.fr/fabrication-rpm.html et http://eric.gerbier.free.fr/fabrication-rpm-avance.html, qui ont été faites pour une présentation. C'est toujours d'actualité.

Sinon, pour la distribution, tu as le choix, parmi les plus répandues utilisant les packages rpm : fedora, centos, suse, mageia …

il suffit de mettre des quotes :
echo "$test"

Pas tout à fait : tu installes ton package, tu adapte ta config à tes besoins, et ton gestionnaire de packages te dit que ton fichier de config a changé.
Et il ne te dira pas non plus si un nouveau binaire apparaît, installé depuis un tar.gz.

Debsum c'est un bon début, mais il faut aller plus loin, et pouvoir vérifier que les fichiers n'ont pas été modifiés, ni leur droits, qu'il n'y a pas de nouveau venu sans raison …
C'est le travail d'un logiciel de contrôle d’intégrité, par exemple aide, tripwire, afick (http://afick.sourceforge.net/index.fr.html) , ossec ( http://www.ossec.net/).

La syntaxe des fichiers spec ne permet pas de le spécifier dans le Requires, par contre, tu peux le déclarer dans une ligne Provides: .
C'est assez utilisé, par exemple dans les applis qui demandent une version spécifique de java.

Sans parler des incompatibilités entre versions de java. Au boulot, sous linux, on en arrive à installer un java par application pour être sur que ça marche !

C'est celui que j'utilise (depuis le début de l'année). La seule chose que je peux lui reprocher (par rapport à un tomtom), c'est le manque de précision des cartes : les numéros dans les rues sont rarement disponibles, mais ça devrait s'améliorer.

Coté clients, mise en place de pam_ldap pour authentification et autorisations sur le ldap.

Coté serveur, c'est un openldap sur un serveur linux. On a d'abord utilisé les schémas standards, puis enrichi avec nos propres attributs. On a au final des classes 'maison' qui héritent des classes standards.

Dans l'exemple demandé, on a une classe 'maison' NotreAccount qui hérite des classes standards Account et PosixAccount, avec quelques attributs suplémentaires.

Sur un gros parc linux, nous avons tout centralisé dans le ldap (openldap). On utilise le champ 'host' de la classe 'account' pour stocker les machines sur lesquelles le compte est autorisé, et ça marche sans souci.

En séparant les rôles, comment moi, qui suis administrateur d'une machine sur laquelle mes utilisateurs installent n'importe quoi leurs applications, je fais pour maintenir un bon niveau de sécurité, sachant que eux ne, feront pas les mises à jours ?

De mon point de vue, utilisateur et administrateur, ce n'est pas le même métier, pas les mêmes compétences.

Coté utilisateur, c'est cool, on peut installer des soft sans attendre que ces faignants d'administrateur s'occupent de nous :).

Coté administrateur, comment on maintient une machine à jour des correctifs de failles de sécurité ?