Glandos a écrit 1203 commentaires

Il y plus d'adeptes, c'est sûr.

Mais il y a aussi un mail sur la liste de Ergodis, qui promeut des solutions ergonomiques pour l'informatique, notamment le Bépo (autour duquel s'est formée Ergodis, ça tourne en boucle ;) ).

Oui, ceci est un commentaire inutile. Mais puisque tu as pris le temps de bien écrire une dépêche de qualité, j'ai trouvé normal de prendre un peu de temps pour formuler des compliments aussi sincères que profonds.

Ah, j'oubliais, c'est très intéressant aussi à lire. Surtout quand on voit les exemples de phrases ambiguës, ça donne à réfléchir sur sa propre langue maternelle.

Petite précision :

ansible -i hosts -l localhost -m file -a "path=/tmp/test state=touch" all

Normalement, on l'écrit :

ansible -i hosts -m file -a "path=/tmp/test state=touch" localhost

C'est plus dans l'esprit de la commande ansible. Par contre, dans le cas de ansible-playbook, on est obligé d'utiliser -l localhost puisque qu'il n'y a pas d'équivalent. C'est un peu incohérent, mais bon…

Je me suis mis à utiliser ansible après avoir codé un outil qui permettait de lancer la même commande sur plusieurs serveurs. Et je me suis retrouvé avec un outil qui marchait, mais bon, pour la maintenance, autant passer sur quelque chose d'utilisé par tout le monde qui remplit également mon besoin. Et y a pas à dire, mettre seulement 1 minutes pour obtenir la différence de synchronisation NTP sur plus de 500 serveurs, c'est efficace.

Le côté sans agent est un plus non-négligeable quand on ne maîtrise pas l'administration des machines.

J'avoue qu'en dehors de proxad.* je n'y vais pas trop :)

Mais sinon, je passe par le serveur de mon fournisseur d'accès bien sûr ! (news.free.fr) L'accès n'est pas le meilleur, mais il a l'avantage d'être gratuit et rapide.

De la lecture pour toi. Extrait :

En revanche, IPv6 permettrait de faire plus facilement des réseaux multiples, par exemple pour séparer le réseau des invités, ou bien pour avoir un réseau de l'employeur, étendu à la maison via un VPN, mais séparé du réseau personnel.

Mais il faut lire l'article en entier. C'est un projet, ce n'est pas encore là, mais le but est réaliste, si tous les acteurs s'y mettent. On a beaucoup plus de recul aujourd'hui qu'au moment de la création de l'IPv4, qui a malgré tout incroyablement bien rempli son rôle, et bien plus encore.

J'allais rechercher l'article de Stéphane Bortzmeyer, mais j'ai vu qu'il a déjà été posté, c'est super :)

Sinon, avec ma freebox en mode bridge, j'ai effectivement tenté de l'IPv6 en auto-configuration depuis mon serveur-routeur. Et il faut bricoler. Je ne sais pas si je vais être clair…

En gros, toutes les machines à la maison sont donc dans un /64. Y compris la Freebox, qui a sa propre adresse, en […]:1. Et donc quand un paquet arrive de l'extérieur, pour une machine derrière le routeur, disons […]:dead:beef, la freebox envoie un paquet de découverte du voisinage en lien-local, puisque l'adresse de destination est dans le même /64. La Freebox n'étant connecté qu'au routeur, c'est celui-ci qui reçoit le paquet. En lien-local, qui lui demande s'il possède l'adresse […]:dead:beef. Théoriquement, il ne la possède pas, et donc ne répond pas.

Sous Linux, un gentil développeur-bidouilleur a codé NPD6, qui triche : il renvoie OK aux requêtes de découverte de voisinage pour tout un préfixe, afin de tromper le modem. C'est bien sûr réservé à ce genre d'usage.

Bon, faut être honnête, c'est pas hyper-bloquant. Mais c'est vrai que si on veut son propre routeur à la maison, c'est un peu gênant.

Je ne sais pas pour son propre modem, mais ma Freebox (v5) est en mode bridge oui.
Et contrairement aux autres fournisseurs, en mode bridge, on garde téléphone et télévision.

Voilà, c'est fait.

S'il y en a qui veulent s'amuser, le résultat est là : http://dl.free.fr/newVyhg7p

Grosso modo, un quart des DSLAMs sont blacklistés. Et pas les autres. J'ai pas trouvé de corrélation.

Je vais quand même présenter doublement mes excuses.

D'une part, pour avoir quand même nourri le troll.

D'autre part, et surtout, pour avoir écrit une phrase qui me semble plus désobligeante que ce à quoi elle s'adressait. Je ne connais pas Zenitram, et c'était une faiblesse que je me suis accordé sous le coup de l'émotion.

Après une bonne douche, je suis dit que je devrais éditer mon commentaire, mais il était trop tard.

J'assume, mais je préfère quand même dire ce que je pense de moi-même…

Ah, Zenitram. Je vais essayer de pas nourrir le troll qui est en toi. Oui, j'ai envie d'y croire au moins une fois.

On est bien d'accord qu'en général, l'emmerdement est maximum. D'ailleurs, quand ça m'est arrivé, il a fallu bousculer les priorités, j'ai eu entre 2 et 3 jours de stress. Je n'ai perdu aucun email (oui, je sais, difficile de savoir ce qui n'est pas arrivé, hein).

Venons-en au cœur. Les emails, c'est comme les SMS. Aucune garantie de délivrance. Aucune. Que tu sois chez GMail, chez toi, ou chez un hébergeur qui fait du HAProxy sur du RAID-278 sur CloudFlare, un email peut se perdre, et ne pas être délivré. En général, l'expéditeur reçoit un « Mail Delivery System » qu'il ne comprend pas, parce qu'il faut avoir déjà installé son serveur SMTP pour comprendre ce que ça veut dire. Et c'est perdu.

Par contre, j'ai déjà eu des échos de Free qui a perdu des emails, et restauré des sauvegardes. GMail, quand ça ne marche pas, tout le monde lève les bras au ciel en hurlant. Pourtant, ce sont des experts, non ?

Mes emails, c'est ma correspondance privée. Ce n'est pas un jeu, c'est très vexant de dire ça, mais en fait, c'est autant un jeu de s'auto-héberger que d'aller sur GMail, où une bonne centaine de personnes que tu connais pas lisent tes mails. Dont tes contrats. Et c'est autrement plus sérieux.

L'email est une dernière chose que j'ai décidé de prendre en main il y a 8 ans, parce que justement, je savais que c'était difficile, et qu'il ne fallait pas se louper. J'ai eu des ratés mineurs. Mais pas de mails perdus.

Ça fait 8 ans, j'ai maintenant un enfant, donc beaucoup moins de temps à passer dessus, et bizarrement, ça va toujours.

On va donc terminer par une pique (je ne résiste pas) : si tu ne te sens pas capable de gérer, ne le fais pas. Ne vient pas insulter les autres de ta jalousie d'incompétent.

Sauf que n'importe qui ne peut pas faire du MitM. C'est compliqué techniquement quand même de se mettre entre moi et GMail par exemple. Le plus simple serait de se mettre sur mon serveur, auquel cas, plus besoin de faire un faux certificat.

Après, on peut imaginer plutôt un re-routage de trafic, mais ça veut dire qu'il faut soit faire mentir les DNS qui me répondent (cache poisoning, ou bien MitM, mais on retombe sur la même problématique), soit faire mentir l'ARP. Et là encore, ce sont deux voies qui demandent du temps et des moyens pour un résultat très faibles. Juste mes emails. Il vaut mieux venir me cambrioler ;)

Alors que pirater une CA. Miam. Du web partout, des centaines de boîtes mails directement accessibles, glop glop.

Bon, c'est quand même bien pour ça qu'on recommande d'activer la PFS partout.

D'accord. Soit. Mais franchement, quelle est la proportion de SPAM dont le SPF est valide ? Ou le DKIM (je n'en ai pas, par manque de temps là) ?

Je ne sais pas si Postfix permet de faire ça, mais ça ne m'étonnerait pas qu'on puisse enchaîner les vérifications dans ce sens :

• Présence de SPF
  • Oui : Si hôte valide, connexion acceptée, fin des vérifications, sinon, on échoue.
  • Non : Tant pis, on poursuit
• Présence dans une liste noire
  • Oui : On échoue
  • Non : On continue

Comme dit plus haut, la liste noire est vraiment une tronçonneuse.

Pour la petite histoire, j'avais réglé Postfix pour faire certaines vérifications basiques sur la correspondance entre les enregistrements A, PTR et MX. J'ai dû le virer, parce que les emails envoyés par dl.free.fr étaient bloqués. Donc bon… Un bon antispam est de toutes façons nécessaire.

C'est pas très clair sur leur page d'accueil. Visiblement, tout est en hors taxe, mais on peut remplir une fiche d'inscription en tant que particulier. Je ne suis pas allé plus loin.

C'est vrai. Je ne cite pas de source (j'ai trop la flemme), mais c'est Nerim le pionnier de l'IPv6 au grand public. Après, c'est sûr que vu le nombre d'abonné chez Free, quand ils ont mis en place l'IPv6, ça n'a pas eu la même portée…

Pour rappel, quand même : http://ipv6pourtous.free.fr/accueil/

En effet, ce n'est donc pas une question de date, mais de plage d'adresses.

Sur ton NRA, il y a des plages qui ont été adressées un petit peu avant moi, et qui ne sont pas listées sur SEM-BLACK. De la même manière, sur mon NRA, il y a des IP non listées. Je vais donc me concocter un petit script qui va faire deux ou trois vérifications.

Merci pour la piste !

Ah. C'est très intéressant. Abonné récemment ? Un NRA récent ou pas ?

Pour les détails (adresse réelle), on peut peut-être en discuter sur XMPP. Je viens de modifier mon profil pour l'afficher :)

Ah ben oui, évidemment. Le FAI n'est pas parfait, mais le côté « Rejetons joyeusement tous les gens dans des listes noires dont on ne connaît pas la fiabilité », c'est pas terrible.
Aujourd'hui, on pourrait par exemple autoriser l'accès si le SPF est correct, sinon, on regarde une liste noire. Juste comme ça.

Bof, non, changer d'adresse IP pour ces clients, c'est foutre en l'air son plan d'adressage, qui est souvent géographique.

C'est sûr, le VPN en relais, c'est pas une mauvaise idée. Ça nécessite quand même un dédié quelque part, au moins, c'est juste un relais sans mémoire.

Après, pour la blague, non, je n'ai quand même pas un P2 400 ;) Ça consomme beaucoup trop ça. J'ai un Intel Atom en Mini-ITX avec une PicoPSU, c'est très bien. Bon, depuis le RaspberryPi, on fait encore mieux, en rapport performance/Watt, mais je vais pas me racheter du matériel tous les jours non plus ;)

La bonne blague qui ne tient pas devant les faits : tu as plus de chances de te faire piquer ton disque chez toi (une pauvre petite serrure) que chez un hébergeur (surveillance 24/24, et plus d'une serrure).

Bon, on s'éloigne du sujet. Je pense que donc que je ne vais pas traîner. J'ai dit : à mon insu. Je sais qu'un professionnel entraîné pourra rentrer chez moi, à mon insu, en refermant tout bien comme il faut, mais c'est pas la majorité. Dans un datacenter, plein de gens ont les clés. Je sais que la sécurité est largement meilleure que chez moi, je n'ai même pas de serrure 3 points, ni de porte blindée. Mais en général, si quelqu'un vient chez moi par effraction, je vais le savoir.

J'espère pour toi que tu as tes emails aussi ailleurs que chez toi, ou que tu es assez riche pour avoir 2 chez toi, car si ils sont que chez toi un point unique, ça serait très rigolo comme sécurité. Surtout en réception (ne pas en perdre quand ton FAI est en carafe).

Je ne sais pas trop sur quel ton répondre. Comme l'a dit Tanguy, le SMTP est extrêmement résilient. 5 jours, je ne sais pas, mais au moins 3, je l'ai testé sur mon dernier déménagement. Au pire, j'ai un ami qui peut faire MX d'urgence, juste au cas où. Et bizarrement, ça suffit. En fait, on accepte beaucoup plus facilement les pannes qui viennent de soi-même, et qu'on comprends, que les pannes des autres. Les pannes, ça arrive, et l'email est vraiment le dernier des services qui perd des données quand ça arrive.

Ah ben dis donc, en plus d'OVH, j'avais même oublié Nerim :) Un membre de FFDN, j'ai bien vu aussi, il y en a un dans ma région, mais disons que bon, il faut investir un peu plus de temps. Enfin, c'est ce que je crois, je parle à l'instinct là.

C'est vrai, et merci de recentrer le débat. Le problème est que personne ne semble joignable chez eux. Je cherche en vain un moyen alternatif de les contacter, mais pour l'instant, j'ai pas trouvé. Je n'ai pas encore fait le tour ceci dit.

OK, merci pour l'info. Je vais quand même tenter ma chance, hein, mais bon, j'en arriverai probablement à la même conclusion…

C'est pas faux. J'avais oublié OVH dans tout ça. Bon, ça ferait râler ma moitié parce qu'on perdrait la télévision… Personnellement, je m'en passerais, mais effectivement, OVH est probablement un meilleur choix que Free.

Surtout avec le retour que je viens de lire, ça a l'air engageant.

Ils ont planifiés des offres fibres ?

C'est vrai que, sans rentrer dans un débat de fond, l'asymétrie de l'ADSL a fait très mal à la nature même du réseau Internet. Mais c'est comme ça, et avec la fibre, ça changera (je sais qu'il y en a pour 10 ans minimum, mais on parle de long terme là).

Donc en attendant, je m'amuse, et je m'entraîne. Y en a qui bricole dans leur garage, moi je bricole sur mon serveur, et je trouve ça chouette.

Comme répondu plus haut, un VPS ne m'appartient pas, donc ça ne répondra pas à mon besoin…