gouttegd a écrit 1805 commentaires

C'est sensé démontrer quoi ?

Que Docker.com ne met absolument pas en avant le fait que Docker est une « techno Linux ». Quiconque arrive sur Docker.com pour comprendre de quoi il s’agit voit en premier que c’est un truc pour Windows et Mac OS.

Du coup je trouve ça difficilement conciliable avec l’affirmation de barmic selon laquelle Docker pour autre chose que Linux est un « hack ».

les conteneurs (Docker en particulier) sont une technologie Linux.

Dont acte. Les seuls utilisateurs de Docker que je connaisse ne l’utilisent que sous Mac OS (et non, pas seulement pour développer : les images finales sont utilisées sous Mac OS), donc je n’ai sans doute pas une vision correcte des usages majoritaires de Docker.

C'est vrai, chez Docker on est tellement contre les hippies barbus communistes que ça fait tâche que docker engine, cli, compose, distribution (et d'autres) sont tous open source.

Je sais bien, je l’ai installé sur ma machine perso depuis les sources (je ne l’aurais pas installé sur cette machine s’il n’était pas libre, il serait resté confiné à ma machine professionnelle).

Comme l’a très justement noté barmic, c’était un troll dirigé contre le service marketing de Docker. Parce qu’avoir tout son business fondé sur une technologie Linux et tout faire pour que le nom « Linux » apparaisse le moins possible, je trouve ça au minimum cocasse, voire que ça a un côté foutage de gueule.

j'ai entendu parler de conteneur windows a une époque - avec donc des dockerfiles spécifiques - mais je ne l'ai jamais vu arriver

T’as raison, c’est juste un vilain hack, totalement découragé par Microsoft d’ailleurs.

Je pense qu'une grande de notre incompréhension est ton irrésistible envie troller du marketing.

Bah c’est surtout que je ne comprends pas où tu veux en venir à soutenir mordicus que Docker, c’est fait pour tourner sous Linux et que partout ailleurs, c’est juste un hack, un pis-aller.

Mais soit.

/plonk

host → VM → docker → conteneur

Et encore tu ne connais pas le pire. Un des principaux outils de l’ODK est un programme écrit en… Java. Qui fonctionne parfaitement bien sur GNU/Linux et sur Mac OS.

Donc sous Mac OS, on utilise Docker pour faire tourner un système GNU/Linux à l’intérieur duquel on lance une JVM pour faire tourner un programme Java… au lieu de simplement installer un JRE et d’utiliser le programme Java directement…

Je ne sais pas à quel moment l’informatique moderne va s’écrouler sous son propre poids à force d’empiler des technos en dépit du bon sens, mais si ça pouvait ne plus trop tarder ce serait pas mal…

Tu mentionne que docker ne fait pas tout et tu le compare à java, mais python ne fait pas particulièrement mieux d'après ton journal.

Ai-je laissé entendre que « Python fait mieux » ?

Encore une fois, mon point est que la portabilité est l’affaire du développeur, pas de la techno qu’il utilise. J’ai cité Java parce que c’est un exemple classique d’une techno visant la portabilité (c’était quand même le slogan du langage à une époque — write once, run everywhere — slogan qui n’a jamais été vrai), mais j’aurais pu faire référence à Python, à Perl, à Qt, à .NET, à Javascript, whatever.

Docker n'est pas particulièrement portable c'est une techno linux et tu peux utiliser une VM pour t'en servir ailleurs, mais tout programme est portable si on considère qu'utiliser une VM est une option. Tu ne lancera pas de docker swarm, kubernetes ou autre sur windows ou mac os.

Faudrait aller dire ça à ceux qui éditent le site docker.com, parce que je te jure ils ont vraiment pas l’air au courant. Tiens, petit exercice : cherche « Linux » sur la page d’accueil…

en terme de déploiement ça pars sur du linux au final

Non non non, on ne dit pas que ça part sur du linux, on dit que ça part sur du Azure, sur du AWS, sur du Google Cloud Platform, au pire on dit que ça part sur du Kubernetes. Mais en tout cas, on dit que ça part sur une plate-forme sérieuse, pas sur un OS développé par des hippies barbus communistes (sinon ça fait tâche sur le business plan, tu te rends pas compte).

Et au passage, ce n’est pas vrai pour tout le monde de toute façon. Par exemple, quasiment tous les utilisateurs d’ODK l’utilisent sous Mac OS (pas le développent, non : l’utilisent).

C’est quoi ODK ?

Un ensemble d’outils pour faciliter la création et l’édition d’une ontologie, c’est-à-dire en gros la représentation formelle, informatiquement exploitable, d’un domaine de connaissances.

Il est facile d'écrire un programme qui ne s'exécute que sur la machine de son développeur.

Farpaitement. Mon point est qu’il est facile de croire que le simple fait d’utiliser un outil conçu pour faire du code portable suffit à rendre le code automagiquement portable, ce qui n’est pas le cas. L’outil peut aider mais ne dispense pas le développeur de devoir faire attention à ce qu’il fait si la portabilité est un objectif.

Perso je trouve que docker hors Linux est un gros hack.

C’est bien possible, mais ce n’est certainement pas l’opinion de Docker (la société) en tout cas. Au contraire, Docker est avancé comme la solution idéale pour les développeurs sous Windows et MacOS. « Linux » est à peine mentionné.

J'avais entendu dire que docker sur M1 c'était balbutiant ça a l'air de pas mal fonctionner.

Pour ce que ça vaut, mon expérience est que tant que l’image dont tu as besoin est disponible pour arm64 (ou si tu développes ta propre image et que tu peux donc la construire toi-même), ça marche bien oui. Par contre faire tourner des images x86_64, dans mon cas rien à faire.

Je pense qu’il faut remplacer Pipefile et Pipefile.lock par Pipfile et Pipfile.lock.

J'ai rapidement fait le lien avec SC = sign capability et S = sign only.

Pas tout-à-fait, SC ne signifie pas Sign Capability mais Sign, Certify, et indique que la clef est utilisable non seulement pour signer mais aussi pour certifier.

La certification étant un cas particulier de signature, où l’on signe d’autres clefs (au lieu de signer des fichiers ou des e-mails).

à la génération d'une clef principale, on obtenait automatiquement une subkey de chiffrement, mais il semble que cela ne soit plus le cas, où que j'ai raté quelque chose.

Générer une sous-clef de chiffrement est bien toujours le comportement par défaut de GnuPG. Sauf gros bug (toujours possible mais franchement peu probable parce qu’un bug pareil aurait peu de chance de passer inaperçu), le seul moyen d’obtenir une clef comme la tienne (clef principale SC + une sous-clef S) est de le demander explicitement.

J'avoue que je suis assez consternée et désespérée, ça donne vraiment pas envie de continuer, n'étaient les deux premiers commentaires (peut-être les deux seuls qui ont lu l'entièreté. du journal en fait).

Bah les discussions qui dérivent sur quelque chose qui n’a qu’un vague rapport avec le journal/la dépêche/le lien, c’est un grand classique je trouve.

Au moins la discussion ici reste à peu près dans le sujet. Je me rappelle d’un journal que j’avais écrit à l’occasion de la sortie de GnuPG 2.2 dont le seul fil de discussion portait sur… le jeu Battle for Wesnoth ! Tout ça parce que ce jeu utilisait un schéma de version alternant versions stables et versions de développement, comme GnuPG…

Bref faut pas se décourager pour ça, les commentaires ne reflètent pas nécessairement la perception du journal par la majorité des gens qui ne commentent pas.

Un critère qu’il peut être important de considérer (ou pas : ce n’est pas forcément pertinent pour tout le monde) est la stabilité à plus ou moins long terme de la solution choisie.

Par exemple, ma thèse écrite en LaTeX il y a dix ans compile toujours parfaitement aujourd’hui avec la dernière version de TeXLive et produit la même sortie qu’il y a dix ans.

À l’inverse, j’ai déjà été confronté à des documentations écrites il y a trois ou quatre ans avec Sphinx et qui ne compilent plus correctement avec les dernières versions, il faut soit mettre à jour la doc pour suivre l’évolution de Sphinx soit utiliser une version d’à peu près la même époque que le document original.

Souhaites-tu pouvoir recompiler facilement ton document dans dix ans ou plus ? Si oui, je dirais que Sphinx est à éviter, LaTeX a un bon track record en la matière — pour les autres solutions, je ne sais pas.

Vous connaissez des gens qui travaille dans cette direction ?

J’ai entendu parler récemment de OpenUDC, un projet de « monnaie libre » qui entre autres choses repose sur un concept d’« identité numérique universelle » (Universal Digital IDentity ou UDID), implémenté sous la forme d’User ID spécialement formattées au sein d’un certificat OpenPGP.

Pour ce que ça vaut, je suis personnellement très sceptique sur cette approche, telle qu’elle est définie : l’idée d’un « identifiant universel » dépendant de mon nom, date et lieu de naissance ne me plaît pas du tout. Et les contraintes arbitraires, comme l’obligation d’avoir un « nom de famille » et des « prénoms » qui peuvent être rendus en ASCII, ne sont pas terribles non plus (au passage, lecture obligatoire pour tout développeur amené à manipuler des noms).

spam comme une calamité de l'auto-hébergement

Franchement, je peste beaucoup plus contre les mesures anti-spam à la truelle de certains serveurs que contre les émetteurs de spam…

Et il n’y a pas que les « gros serveurs » qui font de l’anti-spam en mode « je tire d’abord et je demande qui va là ensuite ». Microsoft est le grand champion en la matière, certes (en France SFR est pas mal aussi d’après les postmasters de Framasoft), mais il y a aussi pas mal de petits serveurs auto-administrés qui font n’importe quoi — genre utiliser des DNS blocklists connues pour blocklister des réseaux entiers et considérer la présence dans une seule de ces listes comme une raison entièrement suffisante pour rejeter un message, indépendamment de tout le reste…

parmi ceux qui hébergent leur propre serveur de mail pour un usage perso (ou familial), recevez-vous beaucoup de spam ?

Sur les cinq derniers jours, mon serveur a rejeté 124 mails invalidés par SPF (cas où le message provient d’une adresse non listée par l’enregistrement SPF du domaine prétendument émetteur, et où le même enregistrement annonce une politique stricte autorisant quiconque à refuser tout message venant d’une autre adresse), et 503 mails adressés à des utilisateurs inexistants.

Dans le même temps, une trentaine d’autres messages indésirables (mais envoyés à une de mes adresses valides et non bloqués par SPF — soit parce que le domaine émetteur n’a pas d’enregistrement SPF, soit parce que l’enregistrement a une politique non-stricte, soit parce que le message est valide du point de vue de SPF) sont arrivés et ont tous été correctement marqués comme indésirable par bogofilter, et ont donc été directement stockés dans la boîte de réception appropriée (où concrètement ils ne dérangent personne, je ne consulte cette boîte qu’une fois de temps en temps juste pour m’assurer qu’il n’y a pas de faux positifs — je peux encore compter sur les doigts d’une seule main les fois où c’est arrivé).

Si oui, depuis combien de temps votre serveur est en marche ?

… Oh merde, ça fait plus de dix ans maintenant…

Etes-vous seul utilisateur de votre serveur ?

Oui.

À une époque j’entendais (enfin, je lisais) ce genre de remarques tellement souvent que j’avais fini par me fendre d’une note sur mon site perso pour expliquer ma position.

TL;DR: Tous les appareils exécutant du code ne sont pas nécessairement assimilables à des ordinateurs pour autant. Je n’ai pas d’objection à ce qu’un appareil spécialisé, limité par conception à une fonction précise, avec des moyens limités, et n’ayant accès qu’à très peu voire aucune de mes données, exécute du code non-libre.

(C’était il y a bientôt dix ans, mais après avoir relue ma note à l’instant je suis toujours globalement d’accord avec le moi d’il y a dix ans. Le seul point à revoir serait à propos du téléphone, parce qu’on ne peut plus dire aujourd’hui qu’un téléphone n’est « pas un ordinateur » et ne « servira jamais qu’à téléphoner ».)

Je ne sais pas ce que fait le code qui génère le sommaire, en revanche ce qui est sûr c’est que j’ai foiré les titres… ><

Je crois que ce j’ai fait, c’est que quand j’ai commencé à écrire le brouillon, dans mon fichier local j’avais un truc comme ça :

# GnuPG 2.3.0 est sorti

bla bla

## Un nouveau démon d’accès aux clefs publiques : keyboxd

bla bla

## Un nouveau démon d’accès aux puces TPM : tpm2d

bla bla

Autrement dit, j’ai utilisé # pour le titre de la dépêche et ## pour les sections de niveau 1. Du coup, toutes les sections sont « un niveau trop bas »…

(Quand je suis né, une fée m’a donné le choix entre maîtriser GnuPG et maîtriser Markdown, devinez ce que j’ai choisi…)

Merci. :)

J’aurais préféré quelque chose de plus simple (mais c’est une critique à l’encontre des smartphones en général, pas spécialement de Signal) et aussi quelque chose qui ne soit pas « juste un hack d’un week-end », mais c’est déjà beaucoup plus que ce que je pensais, je ne vais pas (trop) faire le difficile.

La différence c’est que le client Whatsapp n’est pas libre.

Sur un smartphone ou à part les développeurs personne ne compile soi-même ses applications et où tout le monde s’approvisionne sur un store unique, ça fait une différence que le client soit libre ?

Quelle garantie as-tu que le code du client Signal installé sur ton téléphone est celui qui est publié ?

La seule différence que je vois, c’est qu’un client libre pourrait être mis à disposition via d’autres canaux que le Play Store (typiquement f-droid). Sauf que Signal n’est expressément pas disponible via f-droid, donc…

C’est un journal posté un jour trop tôt je pense.

Non, c’est une erreur d’adressage IPoT. Le journal a été posté le bon jour, mais il est arrivé le mauvais. Ça arrive parfois, surtout depuis le noyau 5.13.1.

Pour tester rapidement quelques mots de passe, l’option -y de ssh-keygen fait l’affaire :

$ ssh-keygen -y -f keyfile

où keyfile est le fichier contenant la clef privée chiffrée. Le programme demandera le mot passe pour déchiffrer la clef et afficher la clef publique correspondante.

(un dédié avec du SSD à 5 €, vraiment?)

Je ne pense pas avoir besoin de stockage SSD. On parle d’un petit serveur pour des besoins perso, là. :) Un petit site web qui doit recevoir trois visites par jour (dont probablement un visiteur qui s’est trompé d’adresse), un petit serveur mail qui reçoit dix mails par jour (dont 9 spams)…

En terme de dimensionnement, un Kimsufi ou assimilé à 5 ou 7 € me suffirait déjà, et à ce prix j’ai 1 Tio de stockage (non-SSD, certes) contre 25 Gio sur un VPS…

Pas avec la même disponibilité, on est d’accord. :)

Un VPS est un choix qui peut avoir du sens, ça dépend de ce dont tu as besoin et tes priorités.

Justement je ne suis plus sûr que ça corresponde toujours à mes besoins et priorités (peut-être que oui, peut-être que non)… Faut que je réfléchisse un peu plus à ça.

(Ça tombe bien j’ai le temps de réfléchir, mon VPS est payé jusqu’à l’année prochaine…)

Je ne suis pas affecté. Mon VPS est hébergé ailleurs, fonctionne toujours très bien et est bien accessible.

Si j’avais été affecté, j’aurais pu remonter un serveur ailleurs et y restaurer mes sauvegardes en l’espace de quinze minutes. Je le sais, parce que je teste régulièrement mes scripts Ansible de restauration sur une machine virtuelle locale, et c’est grosso modo le temps que ça prend. (Bon, en conditions réelles, ça serait probablement un peu plus long, compte tenu de la nécessité de télécharger les sauvegardes vers la nouvelle machine à travers ma connexion domestique. Mais quand même.)

En revanche, cet incident m’incite à reconsidérer mon choix (effectué il y a des années) de privilégier un VPS plutôt qu’un serveur dédié. La raison derrière ce choix était que je voulais me décharger autant que possible de tous les problèmes matériels (typiquement une panne de disque dur), mais est-ce réellement important finalement ?

Si je suis capable de remonter un nouveau serveur from scratch en quinze minutes en cas de force majeure (genre le data center qui part en fumée), ben ça veut dire que je pourrais aussi le faire en cas de problème mineur (genre le disque dur qui rend l’âme), donc quel est l’intérêt d’un VPS pour moi en fin de compte ? Sachant que je n’ai nul besoin de haute disponibilité ou de scalability ?

Sachant de plus que, chez OVH comme chez quasiment tous les fournisseurs à ma connaissance, pour le prix d’un VPS on a un dédié avec beaucoup plus d’espace disque, et que je commence à me sentir à l’étroit dans les 25 Gio de mon VPS, je me demande sérieusement si le choix du VPS n’a pas été une erreur depuis le début et si je ne vais pas migrer vers un bon vieux serveur physique…

Les scripts tentent des login standard uniquement.

Euh, non.

De la même manière que les scripts peuvent¹ faire du brute-force de mot de passe, ils peuvent aussi faire du brute-force de login, en testant un nombre virtuellement illimité de noms soit issus de dictionnaires, soit générés à la volée (ou une combinaison des deux).

Les scripts peuvent aussi s’adapter dynamiquement à l’hôte attaqué — comme mentionné plus haut, j’en ai vu qui tentent de dériver un nom de login depuis le nom d’hôte, ce qui est certes assez simpliste mais ça ne m’étonnerait pas que ça marche sur certaines machines — et on peut facilement imaginer des dérivations plus complexes.

Miser sur le fait que l’attaquant ne trouvera pas le login, c’est une mauvaise idée.

Reste ensuite la barrière du mot de passe.

Du coup, c’est la seule barrière réelle.

---

¹ En l’absence de contre-mesures interdisant les tentatives répétées de connexion, du moins.

Disons que c'est un réglage supplémentaire à faire à chaque client, c'est le risque (minime c'est vrai) d'utiliser un jour une autre application qui utilise ce même port et c'est reparti pour un réglage de plus, c'est le risque d'oublier quel est le port en question…

J’ajouterais le risque d’oublier de changer la configuration du pare-feu en même temps que celle du serveur SSH, et donc de se retrouver avec sshd qui écoute sur (par exemple) le port 7322 alors que le pare-feu continue à ne laisser passer que les paquets à destination du port 22…

C’est à l’administrateur de ne pas être aussi stupide, me direz-vous, mais je pense que miser sur le fait qu’on ne fera jamais ce genre de boulettes est une mauvaise idée.

(Ne dit-on pas qu’il n’y a que deux sortes de sysadmin : ceux qui ont déjà fait une grosse boulette et ceux qui s’apprêtent à en faire une… :D )

Je vois d'ailleurs que pas mal d'entre vous ont laissé le port 22 pour le SSH. Il y a une raison à cela ?

Besoin de me connecter à mon serveur depuis n’importe où, y compris depuis des réseaux que je ne contrôle pas et où seuls certains ports bien définis (typiquement 22, 53, 80, 443, 465, 993, parfois quelques autres) sont autorisés en sortie…

J’ai quelques tentatives de connexion pour un utilisateur nommé “22”… On dirait que quelqu’un s’est emmêlé les pinceaux avec son script, et a confondu le paramètre indiquant le nom de login avec celui indiquant le numéro de port…

Sinon, j’ai aussi quelques petits malins qui tentent de se connecter avec le nom du domaine associé à ma machine au lieu d’essayer bêtement des noms prédéfinis, j’accorde un demi-point pour l’effort.

Marrant, moi c’est l’inverse, je n’ai commencé à utiliser l’hibernation que récemment, depuis que j’ai un disque SSD (qui rend l’entrée et la sortie d’hibernation suffisamment rapide, même avec 16 Gio de RAM).

L’avantage de l’hibernation comparée à la mise en veille, c’est qu’il faut déverrouiller le disque dur pour sortir de l’hibernation (comme pour un démarrage à froid), alors que le disque reste déverrouillé pendant la veille (et donc on en sort sans avoir rien à déverrouiller).

Du coup, j’utilise l’un ou l’autre selon les cas :

– si je suis chez moi ou que je ne prévois pas de quitter mon PC des yeux → mise en veille ;
– si j’emmène mon PC quelque part (dans les transports par exemple) ou que je le laisse sans surveillance ailleurs que chez moi → hibernation.

qui connaissent les mots magiques

Le vocabulaire des brevets, c’est vraiment spécial en fait.

En théorie une des idées derrière le principe des brevets, c’est qu’un brevet doit décrire une invention de telle sorte qu’un « homme de l’art » doit être capable de comprendre l’invention et de la mettre en œuvre. En pratique, j’ai l’impression qu’ils ne sont compréhensibles que par les juristes spécialisés en propriété intellectuelle, et que ce n’est pas un hasard — ils sont expressément rédigés dans ce but. Un brevet, ce n’est pas un inventeur qui parle à des inventeurs, c’est un juriste qui parle à des juristes…

(Et ça ne concerne pas que les brevets logiciels. J’ai eu l’occasion de me pencher sur des brevets portant sur des gènes, et j’avais beau être biologiste et savoir de quoi il était question — être un « homme de l’art », donc —, je les ai trouvés complètement imbitables.)