Puis sur : http://www.alain-bensoussan.com/courrier-electronique-preuve/2015/09/08/
Qui confirme :
1) ça dépend des codes, donc des cas d'applications, et c'est vraiment pas évident
2) ton point de vue qui donne de l'importance au contenu du courriel, plutôt qu'à sa forme (transmission, authentification, etc)
J'ai une approche différente. Je connais l'existence des procédures standardisées de chiffrement. Mais cela implique des modifications sur les logiciels client. Je me pose la question de savoir si avec les protocoles d'authentification récents on arriverait à s'en passer tout en étant conforme à ce que demande la loi. Je pensait avoir trouvé un moyen mais ce n'est pas le cas…
Sans doute une signature associée à la personne qui a rédigé le message. Je doute qu'on puisse qualifier de signature numérique une chaîne de transmissions, si sécurisée qu'elle puisse être contre l'usurpation et la modification.
Après c'est toujours pareil, jusqu’où tu places la confiance… Un gars avec une clef USB contenant sa clef numérique chiffrée, qui la laisse dans son tiroir avec le mot de passe collé à son clavier ça arrive ;-)
Non, c'est là une supposition farfelue. N'importe qui peut acheter nimportequoi.example, le nom de l'acheteur n'a pas du tout besoin de correspondre à quelque partie que ce soit du nom de domaine.
Le nom indiqué dans le WHOIS est censé être le tien, mais il n'est pas vraiment utilisé en matière de courrier électronique.
OK, je n'était pas confiant sur ce point. Donc il faudrait un TLD avec authentification de la possession du domaine + DNSSEC
Concernant l'association avec les personnes disposant des comptes de courrier électronique, ce n'est pas possible sans ajouter au moins une sorte de répertoire sécurisé.
Tu en tends quoi par là ? Une table mysql avec mots de passes chiffrés ne suffirait pas ? Il faudrait un engagement de responsabilité sur la chaîne d'administration du serveur ?
Ceci est à comparer avec une méthode de signature de bout en bout telle qu'OpenPGP, qui ne dépendra que de la confiance qu'on accorde à la chaîne de certification qui relie l'expéditeur et le destinataire (chaîne qui peut au besoin être réduite à ces deux seuls acteurs, s'ils ont l'occasion de se rencontrer directement).
C'est sûr qu'une clef de main en main est plus sûre. Mais c'est difficile à réaliser techniquement dans beaucoup de cas. D’où les chaînes de certification et les blockchains.
Ça dépend…
J'ai vu fonctionner une infra avec cobbler/preseed/ansible avec du Proxmox. Proxmox est attaqué via son API. Je crois que l'API n'a pas changé depuis un moment. Donc le module Ansible pour Proxmox devrait toujours fonctioner.
Tu devras modifier tes scripts pour utiliser l'API proxmox. Mais tu bénéficiera des avantages de Proxmox (sauvegardes, cluster, HA, …)
Au temps pour moi. J'ai écris trop vite. On parle bien de 3 nœuds pour la HA selon la terminologie Proxmox. Cependant :
- il y a des admins qui font la HA avec 2 nœuds en modifiant le nombre de votes d'un nœud (déconseillé)
- j'ai vu passer une info qui disait que Proxmox allait implémenter un quorum sur disque ce qui permettrait de réduire la taille d'un cluster HA à 2 nœuds.
Le concept de quorum, de vote et de règles est une science exacte. Avec algorithme et fencing. Mes tests avec Proxmox : https://forum.proxmox.com/threads/ha-ressources-groups-test-ok.26228/
La meilleure façon de se former c'est de l'essayer…
Installation très simple.
Utilisation bien simple aussi (il faut chercher un peu au début mais ça bien vite).
Si tu veux tester le cluster, il faut au moins 3 machines.
Et en passant :
"Le paquet needrestart est une nouveauté de cette version. Lorsqu'il est installé, il vérifiera, après chaque mise à jour par APT, la nécessité de redémarrer des services pour utiliser les modifications et proposera ainsi de les redémarrer. Il est recommandé d'installer le paquet needrestart pour s'assurer que les mises à jour de sécurité des bibliothèques sont bien propagées dans les services."
==> apt-get update && apt-get install needrestart && apt-get upgrade
J'aime bien votre vision des choses quoi qu'un peu floue sur les choix techniques (je suppose que vous allez affiner ça au fur et à mesure). Les contreparties du financement participatif sont intelligentes. Et le fond du projet est super sympa. Juste une idée en passant : "verrouillez" bien les choses avec interxion car sinon vous aurez un risque de vous retrouver hors budget très vite. Et une autre : la fonctionnalité mailing list est souhaitable pour les assos. En tout cas, Bravo et merci pour l'initiative.
Par ailleurs, souhaitez vous que je demande à tout hasard à Martin MAURER (un des fondateurs de Proxmox GMBH) si il serait intéressé pour vous sponsoriser (via accès aux mises à jour entreprise pour PVE et éventuellement une license pour Proxmox Mail Gateway) ? Ma société Liberasys est "partenaire revendeur" et j'ai de bons rapports avec lui. Ceci dit vous pouvez demander vous même, vous êtes de "grands garçons" ;-)
Oui c'est une manière de voir les choses.
J'utilise un service customisé c'est peut être un peu abusé pour changer un paramètre. Et moins pérenne pour les upgrades.
Mais au moins on peut le retrouver facilement (cas d'un admin novice en systemd - comme moi :-).
Il faudra que je teste à l'occasion pour me faire une meilleure idée.
En tout cas merci pour l'info !
C'est sûr que c'est pas génial d'utiliser du série/USB mais tu n'as peut être pas le choix ?
Côté grub, je ne sais pas si des drivers sont présents. A voir.
Côté kernel, je ne sais pas comment adresser un port série USB au boot. A voir.
Pour l'OS, j'imagine qu'il faut remplacer le ttyS1 du howto avec systemd par ttyUSB0 ?
Oui ce sont des bonnes idées en effet. J'y regarderai de plus près le jour au j'aurai à mettre ça au propre pour beaucoup de serveurs. Mais je reste convaincu qu'utiliser un Ansible et faire un service systemd très bête sera aussi bien. Parce que avec ta méthode, bien que j'externalise 2 paramètres essentiels, je garde une "intelligence" interne pour déterminer les ports du tunnel. Alors que ces paramètres je pourrai les externaliser en gérant avec Ansible, et mettre l'intelligence à un plus haut niveau. Le tout en ayant une approche plus produit (conf agent + conf tunnel systématisés).
Bon, là on diverge… (oui j'ai entendu "verge dans le fond de la salle ? - CQP)
Déjà qu'on évite le troll sur systemd, on va pas se lancer dans IPv6 si ? En tout cas pour ma part, je passe ;-p
Ok, je vois un peu mieux ta façon de voir les choses. Comme je dis toujours avant de juger il faut connaître et quand on connaît on a plus envie de juger :-) Du coup je serai curieux d'en savoir un peu plus sur ta façon de faire et ce qui t'as conduit à implémenter toi même du fencing etc. N'hésite pas à m'appeler si tu veux discuter. Tu pourras trouver mes coordonnées par diverses moyens ;-)
A cause de problèmes de caractères d'escapes et autres. Ça m'est arrivé par le passé, j'ai donc trouvé une méthode fiable, systématique et qui sépare bien les choses avant de faire un pas vers l'automatisation. Exemple, si dans ton texte à remplacer tu as "VAR" ou $VAR, ça peut poser problème. On peut faire autrement, mais cette solution m'a paru saine.
zabbix fait-il l'autogeneration de carte à partir des indicateurs ?
cartes non, pas automatiquement à ma connaissance. graphiques oui
zabbix peut-il combiner des indicateurs pour en faire un autre ?
calculs sur les métriques (ex métriqueS = métrique1+métrique2) et algorithmie complexe pour les évènements (triggers), et dépendances sur les calculs de SLAs.
[^] # Re: Ce qui manque - Ailleurs et en France
Posté par ghusson (site web personnel) . En réponse au journal authentification et certification de contenu de courriel ?. Évalué à 1. Dernière modification le 07 juin 2016 à 16:30.
Merci pour ton retour d'expertise !
En cherchant un peu je suis tombé sur :
https://www.legifrance.gouv.fr/affichCodeArticle.do?cidTexte=LEGITEXT000006070721&idArticle=LEGIARTI000006438628
(exemple du code civil, pour l'équivalence entre courriel et lettre AR, qui a été abrogé…)
Puis sur :
http://www.alain-bensoussan.com/courrier-electronique-preuve/2015/09/08/
Qui confirme :
1) ça dépend des codes, donc des cas d'applications, et c'est vraiment pas évident
2) ton point de vue qui donne de l'importance au contenu du courriel, plutôt qu'à sa forme (transmission, authentification, etc)
[^] # Re: Tentative :
Posté par ghusson (site web personnel) . En réponse au journal authentification et certification de contenu de courriel ?. Évalué à 1.
J'ai une approche différente. Je connais l'existence des procédures standardisées de chiffrement. Mais cela implique des modifications sur les logiciels client. Je me pose la question de savoir si avec les protocoles d'authentification récents on arriverait à s'en passer tout en étant conforme à ce que demande la loi. Je pensait avoir trouvé un moyen mais ce n'est pas le cas…
[^] # Re: Éléments de réponse
Posté par ghusson (site web personnel) . En réponse au journal authentification et certification de contenu de courriel ?. Évalué à 2.
Après c'est toujours pareil, jusqu’où tu places la confiance… Un gars avec une clef USB contenant sa clef numérique chiffrée, qui la laisse dans son tiroir avec le mot de passe collé à son clavier ça arrive ;-)
[^] # Re: Éléments de réponse
Posté par ghusson (site web personnel) . En réponse au journal authentification et certification de contenu de courriel ?. Évalué à 1.
OK, je n'était pas confiant sur ce point. Donc il faudrait un TLD avec authentification de la possession du domaine + DNSSEC
Tu en tends quoi par là ? Une table mysql avec mots de passes chiffrés ne suffirait pas ? Il faudrait un engagement de responsabilité sur la chaîne d'administration du serveur ?
C'est sûr qu'une clef de main en main est plus sûre. Mais c'est difficile à réaliser techniquement dans beaucoup de cas. D’où les chaînes de certification et les blockchains.
Merci pour ton analyse !
[^] # Re: Tentative
Posté par ghusson (site web personnel) . En réponse au journal authentification et certification de contenu de courriel ?. Évalué à 1.
Bien vu pour DNSSEC !
[^] # Re: Attic
Posté par ghusson (site web personnel) . En réponse au journal zpaq : backup incrémental avec déduplication . Évalué à 1.
Peut être que tu peux essayer duplicity dans ton cas ? http://duplicity.nongnu.org/
[^] # Re: VMs WINDOWS, Proxmox ou autre?
Posté par ghusson (site web personnel) . En réponse à la dépêche Sortie de Proxmox VE 4.2 . Évalué à 1.
Commence par avoir de la supervision de tes ressources. C'est comme ça que tu pourras savoir si tu peux charger plus ton serveur.
[^] # Re: Formation
Posté par ghusson (site web personnel) . En réponse à la dépêche Sortie de Proxmox VE 4.2 . Évalué à 1.
Ça dépend…
J'ai vu fonctionner une infra avec cobbler/preseed/ansible avec du Proxmox. Proxmox est attaqué via son API. Je crois que l'API n'a pas changé depuis un moment. Donc le module Ansible pour Proxmox devrait toujours fonctioner.
Tu devras modifier tes scripts pour utiliser l'API proxmox. Mais tu bénéficiera des avantages de Proxmox (sauvegardes, cluster, HA, …)
[^] # Re: Formation
Posté par ghusson (site web personnel) . En réponse à la dépêche Sortie de Proxmox VE 4.2 . Évalué à 1.
Au temps pour moi. J'ai écris trop vite. On parle bien de 3 nœuds pour la HA selon la terminologie Proxmox. Cependant :
- il y a des admins qui font la HA avec 2 nœuds en modifiant le nombre de votes d'un nœud (déconseillé)
- j'ai vu passer une info qui disait que Proxmox allait implémenter un quorum sur disque ce qui permettrait de réduire la taille d'un cluster HA à 2 nœuds.
Le concept de quorum, de vote et de règles est une science exacte. Avec algorithme et fencing. Mes tests avec Proxmox : https://forum.proxmox.com/threads/ha-ressources-groups-test-ok.26228/
[^] # Re: Kimchi est pas mal aussi
Posté par ghusson (site web personnel) . En réponse à la dépêche Sortie de Proxmox VE 4.2 . Évalué à 1.
Ça a l'air sympa ce projet. Je suis preneur pour les captures d'écran.
Est ce que ça gère le clustering et la HA ?
[^] # Re: Formation
Posté par ghusson (site web personnel) . En réponse à la dépêche Sortie de Proxmox VE 4.2 . Évalué à 2.
La meilleure façon de se former c'est de l'essayer…
Installation très simple.
Utilisation bien simple aussi (il faut chercher un peu au début mais ça bien vite).
Si tu veux tester le cluster, il faut au moins 3 machines.
# apt-dater
Posté par ghusson (site web personnel) . En réponse au message Outil de gestion des mises à jour Debian. Évalué à 2.
Pour 50 machines je te conseille apt-dater si tu veux le faire à moitié à la main et aux petits oignons (ce qui est conseillé).
Sinon il y a les unattended upgrades : https://wiki.debian.org/UnattendedUpgrades
Et en passant :
"Le paquet needrestart est une nouveauté de cette version. Lorsqu'il est installé, il vérifiera, après chaque mise à jour par APT, la nécessité de redémarrer des services pour utiliser les modifications et proposera ainsi de les redémarrer. Il est recommandé d'installer le paquet needrestart pour s'assurer que les mises à jour de sécurité des bibliothèques sont bien propagées dans les services."
==> apt-get update && apt-get install needrestart && apt-get upgrade
# Projet très très sympa
Posté par ghusson (site web personnel) . En réponse à la dépêche Olympe, hébergeur gratuit et sans publicités, mène une campagne de financement participatif. Évalué à 10. Dernière modification le 12 avril 2016 à 01:10.
J'aime bien votre vision des choses quoi qu'un peu floue sur les choix techniques (je suppose que vous allez affiner ça au fur et à mesure). Les contreparties du financement participatif sont intelligentes. Et le fond du projet est super sympa. Juste une idée en passant : "verrouillez" bien les choses avec interxion car sinon vous aurez un risque de vous retrouver hors budget très vite. Et une autre : la fonctionnalité mailing list est souhaitable pour les assos. En tout cas, Bravo et merci pour l'initiative.
Par ailleurs, souhaitez vous que je demande à tout hasard à Martin MAURER (un des fondateurs de Proxmox GMBH) si il serait intéressé pour vous sponsoriser (via accès aux mises à jour entreprise pour PVE et éventuellement une license pour Proxmox Mail Gateway) ? Ma société Liberasys est "partenaire revendeur" et j'ai de bons rapports avec lui. Ceci dit vous pouvez demander vous même, vous êtes de "grands garçons" ;-)
[^] # Re: Plus propre
Posté par ghusson (site web personnel) . En réponse au journal Console sur port série avec systemd + sortie série pour grub et kernel. Évalué à 1.
Eh bien dis donc, on dirait bien que je me suis embêté pour rien ;-)
A valider, mais c'est séduisant !
[^] # Re: Plus propre
Posté par ghusson (site web personnel) . En réponse au journal Console sur port série avec systemd + sortie série pour grub et kernel. Évalué à 2.
Ok, c'est bon à savoir, merci.
[^] # Re: Plus propre
Posté par ghusson (site web personnel) . En réponse au journal Console sur port série avec systemd + sortie série pour grub et kernel. Évalué à 2.
Oui c'est une manière de voir les choses.
J'utilise un service customisé c'est peut être un peu abusé pour changer un paramètre. Et moins pérenne pour les upgrades.
Mais au moins on peut le retrouver facilement (cas d'un admin novice en systemd - comme moi :-).
Il faudra que je teste à l'occasion pour me faire une meilleure idée.
En tout cas merci pour l'info !
[^] # Re: ttyUSB0?
Posté par ghusson (site web personnel) . En réponse au journal Console sur port série avec systemd + sortie série pour grub et kernel. Évalué à 1.
C'est sûr que c'est pas génial d'utiliser du série/USB mais tu n'as peut être pas le choix ?
Côté grub, je ne sais pas si des drivers sont présents. A voir.
Côté kernel, je ne sais pas comment adresser un port série USB au boot. A voir.
Pour l'OS, j'imagine qu'il faut remplacer le ttyS1 du howto avec systemd par ttyUSB0 ?
[^] # Re: Merci.
Posté par ghusson (site web personnel) . En réponse au journal Console sur port série avec systemd + sortie série pour grub et kernel. Évalué à 1.
Heureux que ça serve :-)
[^] # Re: Directive EnvironmentFile pour l’unité systemd
Posté par ghusson (site web personnel) . En réponse au journal Zabbix, autossh, systemd. Évalué à 1.
Oui mais c'est pas grave, j'avais compris quand même.
Voir exemple de barmic plus loin.
[^] # Re: HEREDOC et variables
Posté par ghusson (site web personnel) . En réponse au journal Zabbix, autossh, systemd. Évalué à 1.
Oui ce sont des bonnes idées en effet. J'y regarderai de plus près le jour au j'aurai à mettre ça au propre pour beaucoup de serveurs. Mais je reste convaincu qu'utiliser un Ansible et faire un service systemd très bête sera aussi bien. Parce que avec ta méthode, bien que j'externalise 2 paramètres essentiels, je garde une "intelligence" interne pour déterminer les ports du tunnel. Alors que ces paramètres je pourrai les externaliser en gérant avec Ansible, et mettre l'intelligence à un plus haut niveau. Le tout en ayant une approche plus produit (conf agent + conf tunnel systématisés).
[^] # Re: Merci
Posté par ghusson (site web personnel) . En réponse au journal Zabbix, autossh, systemd. Évalué à 0.
Bon, là on diverge… (oui j'ai entendu "verge dans le fond de la salle ? - CQP)
Déjà qu'on évite le troll sur systemd, on va pas se lancer dans IPv6 si ? En tout cas pour ma part, je passe ;-p
[^] # Re: Merci
Posté par ghusson (site web personnel) . En réponse au journal Zabbix, autossh, systemd. Évalué à 1.
Ok, je vois un peu mieux ta façon de voir les choses. Comme je dis toujours avant de juger il faut connaître et quand on connaît on a plus envie de juger :-) Du coup je serai curieux d'en savoir un peu plus sur ta façon de faire et ce qui t'as conduit à implémenter toi même du fencing etc. N'hésite pas à m'appeler si tu veux discuter. Tu pourras trouver mes coordonnées par diverses moyens ;-)
[^] # Re: HEREDOC et variables
Posté par ghusson (site web personnel) . En réponse au journal Zabbix, autossh, systemd. Évalué à 2.
A cause de problèmes de caractères d'escapes et autres. Ça m'est arrivé par le passé, j'ai donc trouvé une méthode fiable, systématique et qui sépare bien les choses avant de faire un pas vers l'automatisation. Exemple, si dans ton texte à remplacer tu as "VAR" ou $VAR, ça peut poser problème. On peut faire autrement, mais cette solution m'a paru saine.
[^] # Re: Directive EnvironmentFile pour l’unité systemd
Posté par ghusson (site web personnel) . En réponse au journal Zabbix, autossh, systemd. Évalué à 1.
"J'ai un peu galérer pour la sonsole sur port série ;p"
=> "J'ai un peu ramé pour la console sur port série ;p"
il se fait tard…
[^] # Re: Profitons de ce fornal (forum + journal) pour parler de la supervision
Posté par ghusson (site web personnel) . En réponse au journal SNMP vs NRPE. Évalué à 1. Dernière modification le 11 avril 2016 à 01:29.